《网络安全标准实践指南—敏感个人信息识别指南(征求意见稿)》发布

来源:TMT法律论坛

文章摘要
导读 2024年6月11日,全国网络安全标准化技术委员会(以下简称“网安标委”)发布《网络安全标准实践指南—敏感个人信息识别指南(征求意见稿)》(以下简称“《识别指南》”),并面向社会公开征求意见,意
导读
2024年6月11日,全国网络安全标准化技术委员会(以下简称“网安标委”)发布《网络安全标准实践指南—敏感个人信息识别指南(征求意见稿)》(以下简称“《识别指南》”),并面向社会公开征求意见,意见反馈截止时间为2024年6月24日。
敏感个人信息的识别问题在个人信息保护影响评估(PIA)、数据出境等多项合规义务的判断当中至关重要,处理敏感个人信息将触发更为严格的安全保障义务。本次《识别指南》参照正在制定的敏感个人信息处理安全要求国家标准(以下简称“《安全要求》”)所制定,《安全要求》已于2023年8月发布征求意见稿。
整体而言,本次《识别指南》主体内容与《安全要求》第5部分“敏感个人信息界定”的内容大体一致,均围绕敏感个人信息的识别方式、常见敏感个人信息类别进行描述,并给出示例。但相较于《安全要求》2023年的征求意见版本而言,《识别指南》进行了一些修订与补充,所提供的示例也有一定变化。我们将变化的内容整理如下:
敏感个人信息的识别方法
《安全要求》提出应从个人信息遭到泄露或非法使用的后果角度识别个人信息,如个人信息泄露或非法使用容易导致自然人的人格尊严受到侵害,或人身安全/财产安全受到危害,该等个人信息应被认定为敏感个人信息。
《识别指南》在识别方法层面拟进行如下补充:
*在人格尊严方面,容易导致自然人人格尊严受到侵害的情形可能包括“人肉搜索”、非法侵入他人网络账户、贩卖个人信息、电信诈骗、损害个人名誉、歧视性差别待遇等。
*在人身安全方面,例如泄露、非法使用个人的行踪轨迹信息,可能会造成个人信息主体的人身安全受到损害。
(根据用户的个人信息推断其敏感个人信息,推断出的信息也属于敏感个人信息。
常见敏感个人信息
由于敏感个人信息的识别存在价值判断的空间,且与具体处理场景相关,因此《安全要求》和《识别指南》均提出了常见敏感个人信息的类别与具体示例。
在类别层面的对比如下:

类别

《安全要求》

《识别指南》

生物识别信息

对自然人的物理、生物或行为特征进行技术处理得到的、能够单独或者与其他信息结合识别该自然人身份的个人信息

也称生物特征识别信息,是指对自然人的物理、生物或行为特征进行技术处理得到的、能够单独或者与其他信息结合识别该自然人身份的个人信息

注 1:生物识别信息可参考 GB/T 40660、GB/T 41819、GB/T 41807、GB/T 41773、GB/T 41806 等生物识别信息安全国家标准。

宗教信仰信息

与信仰的宗教、宗教组织、宗教活动相关的信息

与个人信仰的宗教、宗教组织、宗教活动相关的个人信息

特定身份信息

对个人人格尊严和社会评价有重大影响的身份信息,特别是那些可能导致社会歧视的特定身份信息

对个人人格尊严和社会评价有重大影响或有其他不适宜公开的身份信息,特别是那些可能导致社会歧视的特定身份信息

医疗健康信息

与自然人的健康状况以及医疗就诊相关的信息

与个人的医疗就诊、身体或心理健康状况相关的个人信息

注 2:个人过去、现在或未来的健康状况均属于医疗健康信息。

金融账户信息

与银行、证券等账户和交易相关的信息

与个人的银行、证券等账户和账户资金交易相关的个人信息

行踪轨迹信息

与个人所处地理位置、活动地点和活动轨迹等相关的信息

与个人所处地理位置、活动地点和活动轨迹等相关的个人信息

注 3:个人过去、现在的行踪轨迹均属于行踪轨迹信息。

身份鉴别信息

用于验证主体是否具有访问或使用权限的信息。例如登陆密码、支付密码、动态口令、口令保护答案等

/

未成年人个人信息

不满十四周岁未成年人的个人信息

不满十四周岁未成年人的个人信息

其他

除以上信息外,应作为敏感个人信息保护的信息

除以上信息外,其他一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的常见个人信息


在具体示例层面的对比如下:

类别

《安全要求》

《识别指南》

生物识别信息

个人基因、指纹、声纹、掌纹、眼纹、耳廓、虹膜、面部识别特征、步态等

个人基因、人脸、声纹、步态、指纹、掌纹、眼纹、耳廓、虹膜等生物识别信息

宗教信仰信息

信仰的宗教、加入的宗教组织、宗教组织中的职位、参加的宗教活动、特殊宗教习俗等

个人信仰的宗教、加入的宗教组织、宗教组织中的职位、参加的宗教活动、特殊宗教习俗等个人信息

特定身份信息

犯罪人员身份信息、残障人士身份信息、特定工作信息(如军人、警察)、身份证件号码等

残障人士身份信息、不适宜公开的职业身份信息(如军人、警察)等个人信息

医疗健康信息

病症、住院志、医嘱单、检验报告、检查报告、手术及麻醉记录、护理记录、用药记录、生育信息、家族病史、传染病史等

1. 与个人的身体或心理的伤害、疾病、残疾、疾病风险或隐私有关的健康状况信息,如病症、既往病史、家族病史、传染病史、体检报告、生育信息等

2. 在疾病预防、诊断、治疗、护理、康复等医疗服务过程中收集和产生的个人信息,如医疗就诊记录(如医疗意见、住院志、医嘱单、手术及麻醉记录、护理记录、用药记录)、医疗设备数据(如检验报告、检查报告)等

金融账户信息

银行、证券、基金、保险、公积金等账户的账号及密码,公积金联名账号、支付账号、银行卡磁道数据(或芯片等效信息)以及基于账户信息产生的支付标记信息等

个人的银行、证券、基金、保险、公积金等账户的账号及密码,公积金联名账号、支付账号、银行卡磁道数据(或芯片等效信息)以及基于账户信息产生的支付标记信息、个人收入明细等个人信息

行踪轨迹信息

实时精准定位信息、GPS 车辆轨迹信息、航班车票信息、特定住宿信息等

实时精准定位信息、GPS 车辆轨迹信息、航班高铁出行记录、人员轨迹信息等个人信息

身份鉴别信息

登陆密码、支付密码、账户查询密码、交易密码、动态口令、口令保护答案等

/

未成年人个人信息

不满十四周岁未成年人的个人信息

不满十四周岁未成年人的个人信息

其他

网页浏览信息、婚史、性取向、通信内容、征信信息、未公开的违法犯罪记录等

精准定位信息、身份证照片、性取向、性生活、征信信息、犯罪记录信息、展示个人身体私密部位的照片或视频信息等


《识别指南》在示例中还提供了更具体的说明,其中值得关注的是:
第一,人脸信息是指可识别自然人身份的人脸图像、人脸特征(也称面部识别特征)等,其中人脸图像是可提取自然人脸部特征的照片、视频等,而人脸特征则是由图像提取的特征参数。
第二,通过申请手机精准位置权限(如安卓系统ACCESS_FINE_LOCATION权限)采集的位置信息属于精准定位信息,连续采集的精准定位信息可用于生成行踪轨迹,这值得APP、小程序等运营主体予以关注。
延伸:敏感个人信息范畴的边界仍在不断调适
在个保法之前,国家标准《信息安全技术个人信息安全规范》(“35273”)曾给出个人敏感信息的判定方法及示例,并得到广泛应用。《个保法》第28条正式从法律层面给出敏感个人信息的定义,在判定时所考量的其泄露或非法使用所影响的维度被固定为自然人的人格尊严、人身安全及财产安全。同时《个保法》第28条更新了敏感个人信息所涉类别,在35273的基础上增加宗教信仰、行踪轨迹类别,而个人财产信息被限缩至金融账户信息,个人身份信息被限缩至特定身份信息。
然而,在《个保法》之后,《安全要求》《GB/T43697-2024数据安全技术数据分类分级规则》(“43697”)以及本次《识别指南》相继发布,即将于今年10月起实施的43697所给出的个人信息分类参考示例相较于35273的个人信息示例而言,增加了个人信息的二级类别,从而在颗粒度上有所变化,例如个人财产信息被进一步分为金融账户信息、个人交易信息、个人资产信息及个人借贷信息(含征信信息),而征信信息通常被认为属于敏感个人信息,因此《个保法》在类别上的限缩并不完全意味着具体字段的限缩。而《安全要求》及本次《识别指南》也在《个保法》所确定的框架下探索更为具体的识别方式与常见示例,敏感个人信息范畴的边界仍在不断调适。基于此,我们建议个人信息处理者在识别敏感个人信息时,采取实质性判断和参考示例相结合的方式,并在判断某项个人信息不属于敏感个人信息时,做好内部论证流程的留痕。
技术驱动法律,专业成就未来